サイト間IPSec VPN
IPSecの利用例の一つに、インターネットを介して企業の拠点(サイト)のLANを
相互接続することがあります。いわゆる「インターネットVPN」と呼ばれてい
るものです。
インターネットVPNの実装方法は他にもありますが、IPSecを用いたVPNがもっ
ともよく実装されています。
サイト間IPSec VPNの簡単な構成例は次の図です。
IPSec VPNによって、VPN GW1とVPN GW2間でIPパケットをESPでカプセル化し、 盗聴や改ざんができないようにします。その結果、インターネットを介して、 LAN1とLAN2間の通信を安全に行うことができるようになります。
IPSec VPNを確立するデバイスをVPNゲートウェイやセキュリティゲートウェイ と呼びます。ルータにもIPSecを実装して、VPNゲートウェイとして動作させる ことができます。
サイト間IPSec VPNの動作ステップ
サイト間IPSec VPNの動作ステップは、基本的に次の5つです。
ステップ1:
IPSec VPNに通す対象パケットがVPNゲートウェイに到着することで、IPSec VPN
のトンネルの作成が始まります。IPSec VPNのトンネルは、SAですね。また、
IPSec VPNに通す対象パケットはアクセスリストで識別します。このアクセス
リストを暗号アクセスリストと呼ぶこともあります。
ステップ2:
VPNゲートウェイ間でIKEフェーズ1のネゴシエーションにより、ISAKMP SAを作
成します。ネゴシエーションするパラメータは、
- 暗号化アルゴリズム
- ハッシュアルゴリズム
- 認証方式
- Diffie-Hellman交換
- SAのライフタイム
です。ISAKMP SAを作成することで、VPNゲートウェイがお互いが正規のデバイ スであることを確認し、このあとのIPSec SA用の秘密鍵を生成することができ ます。
ステップ3:
VPNゲートウェイ間でIKEフェーズ2のネゴシエーションを行い、実際にパケッ
トをカプセル化して安全に転送するためのIPSec SAを生成します。IPSec SAを
生成するにも、VPNゲートウェイ間で次のようなパラメータをネゴシーション
します。
- セキュリティプロトコル(ESP or AH)
- ライフタイム
- カプセル化モード
- 暗号化アルゴリズム
- ハッシュアルゴリズム
- Diffie-Hellman交換
なお、IPSec SAは片方向のSAであることに注意してください。
ステップ4:
IPSec SAにパケットを転送します。実際には、IPSec SAでネゴシエーションし
たカプセル化プロトコル(ESP or AH)でパケットをカプセル化して、インター
ネット上に送信します。トンネルモードもしくはトランスポートモードである
かもIPSec SAのネゴシエーションで決めていますが、サイト間IPSec VPNの場
合は、トンネルモードになるのが普通です。
ステップ5:
IPSec SAは、ネゴシエーションで決定したSAのライフタイムにしたがって、タ
ーミネートされます。ライフタイムは時間指定や転送したパケットのバイト指
定で設定可能です。
新しいパケットがやってきた場合、再びIKEフェーズ2のネゴシエーションから
行います。
以上の5ステップで、サイト間IPSec VPNを確立してサイト間で安全な通信がで きるようになります。
このステップでみたように、IPSec VPNはパケットが到着することで確立され るオンデマンドのトンネルであることもわかります。
